En 2014, la société WHATSAPP était rachetée par la société FACEBOOK Inc.. Le 25 août 2016 elle mettait en ligne une nouvelle version des conditions d’utilisation et de confidentialité de son application, avertissant les utilisateurs de la transmission désormais systématique de leurs données personnelles à la société FACEBOOK Inc.
Il était spécifié que cette transmission avait notamment deux finalités, la « business intelligence » et la sécurité. Les utilisateurs avaient désormais le choix entre refuser, l’accès à l’application leur étant alors interdit ou accepter sans condition.
Le Groupe 29 [1] ou G29, alerté par ces modifications, s’empressait de demander à la société WHATSAPP de lui fournir de plus amples informations concernant lesdits traitements et exigeait l’interruption immédiate de tout ciblage publicitaire. Il mandatait par ailleurs son « Enforcement Subgroup » de coordonner les éventuelles investigations des autorités nationales et notamment celles de la Commission nationale de l’Informatique et des Libertés (ci-après CNIL).
La CNIL entreprit, courant novembre 2016, des contrôles en ligne et sur questionnaire et convoqua la société WHATSAPP pour une audition.
Au cours de ces différents contrôles, la CNIL constata qu’aucune information relative aux traitements de données à caractère personnel mis en place par la société WHATSAPP n’était présente sur le formulaire permettant de créer un compte sur l’application et que le consentement recueilli auprès des anciens comme des nouveaux utilisateurs s’agissant de la transmission de leurs données à la société FACEBOOK Inc. n’était pas libre.
Forte de ces constats, la CNIL exhorta alors la société WHATSAPP de lui communiquer des échantillons des données des utilisateurs français transmises à la société FACEBOOK Inc.
La société WHATSAPP se contenta de répondre qu’elle n’utilisait pas les données des utilisateurs français aux fins de ciblage publicitaire et refusa catégoriquement de communiquer de plus amples informations à la CNIL, estimant n’être soumise qu’à la seule législation américaine.
Aussi, le 18 décembre 2017 [2], compte tenu du non-respect par la société WHATSAPP de son obligation de coopérer avec la CNIL (1.) et des manquements relatifs aux traitement des données qu’elle met en œuvre (2.), la CNIL mettait-elle publiquement en demeure la société WHATSAPP de se conformer à la loi dans un délai d’un mois (3.).
1. La loi française étant applicable, la société WHATSAPP a commis un manquement à son obligation de coopérer avec la CNIL
L’article 5- 2° du I de de la loi Informatique et Libertés prévoit que sont soumis à ses dispositions les traitements pour lesquels le responsable « sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français (…) », ce qu’a confirmé le G29 dans son avis n° 8/2010 du 16 décembre 2010 du G29 [3].
En l’espèce, il est indéniable que la société WHATSAPP collecte des données à caractère personnel en ayant recours à des moyens de traitement situés sur le territoire français, puisque le service de messagerie proposé par l’intermédiaire de son application a notamment vocation à être installé sur des terminaux mobiles situés entre autres, sur le territoire français (cf. langue d’utilisation et possibilités de paramétrage spécifiques à la France) et permet de collecter de nombreuses données relatives à l’identité des utilisateurs (nom, numéro de téléphone, photographie…). La société WHATSAPP est donc bien soumise à la loi Informatique et Libertés française, dans sa version modifiée [4].
Or, à plusieurs reprises, la CNIL a demandé à la société WHATSAPP de lui fournir des documents contractuels ou non encadrant les échanges de données entre la société WHATSAPP et les sociétés destinataires desdites données ainsi que l’ensemble des données communiquées par la société WHATSAPP à la société FACEBOOK Inc. pour un échantillon de mille utilisateurs situés sur le territoire français.
La société WHATSAPP a répondu à ces demandes en indiquant ne pas comprendre la nature de la documentation sollicitée, ou que la transmission de l’échantillon souhaité se heurtait à des difficultés légales, ou encore que la documentation attendue étant soumise à des règles de confidentialité strictes, elle ne pouvait à ce titre lui être communiquée.
Ces éléments de réponse qui illustrent l’insuffisance pour ne pas dire l’absence de coopération de la société WHATSAPP avec la CNIL, caractérisent un manquement à l’obligation de coopérer avec la CNIL conformément à l’article 21 de la loi Informatique et Libertés précitée [5].
2. La CNIL a constaté le défaut de base légale des traitements de données mis en œuvre
Les différentes investigations menées ont confirmé que l’utilisation desdites données se limitait aux seules finalités de sécurité et de business intelligence, ce qui a attisé les craintes du G29 et de la CNIL. Car si l’objectif de sécurité est essentiel au bon fonctionnement de l’application, ce qui est acceptable, ce n’est pas le cas de la finalité dite de « business intelligence » visant à « l’amélioration des performances de l’application et à optimiser son exploitation », qui selon les termes employés par la CNIL dans son communiqué du 18 décembre dernier ne repose sur aucune des bases légales listées à l’article 7 de la loi Informatique et Libertés [6].
S’agissant en premier lieu de l’argument du recueil du consentement libre et spécifique de la personne concernée, invoqué par la société WHATSAPP, il n’est pas valable en l’espèce.
En effet, d’après l’avis n°15/2011 du 13 juillet 2011 du G29 « le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix (…) et s’il n’y a pas de conséquences importantes si elle ne donne pas son consentement » et de préciser « si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre ».
En l’espèce, les utilisateurs ont certes été informés de la transmission de leurs données, mais la manifestation de leur volonté ne saurait être qualifiée de libre, dans la mesure où le seul moyen dont ils disposent pour s’y opposer, est de désinstaller l’application et donc de renoncer complètement à son utilisation.
Par ailleurs et comme l’a rappelé le G29 dans son avis précité, le consentement doit être spécifique, « En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. (…) En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement ».
En l’espèce, les utilisateurs consentent de manière générale aux conditions d’utilisation et à la politique de confidentialité avant d’installer l’application. Le consentement délivré concerne non seulement le traitement des données par la société WHATSAPP, mais aussi leur traitement par la société FACEBOOK Inc. à des fins accessoires dont l’amélioration de son service fait partie. Par conséquent, le consentement à la transmission des données n’est pas spécifique.
Faute d’être libre et spécifique, le consentement des utilisateurs n’a donc pas valablement été recueilli.
S’agissant en second lieu de l’intérêt légitime du responsable de traitement invoqué par la société WHATSAPP, il doit être apprécié non seulement en tant que tel mais aussi au regard de l’intérêt de la personne concernée et de ses droits et libertés fondamentaux, « auxquels l’intérêt du responsable de traitement ne saurait porter atteinte ». Il s’agit donc de tenir compte de la proportionnalité du traitement de données au regard de ses finalités.
En l’espèce, les données des utilisateurs de l’application de la société WHATSAPP sont transmises à la société FACEBOOK Inc. même lorsque ces derniers ne disposent pas d’un compte FACEBOOK. Comme la CNIL l’a souligné dans sa décision du 27 novembre dernier « cela signifie que les données de ces personnes sont transmises à un autre responsable de traitement avec lequel elles n’entretiennent aucun lien ».
En outre, dans son avis n°06/2014 du 09 avril 2014, le G29 souligne concernant l’intérêt légitime que « doivent être prises en compte dans la balance des intérêts les garanties supplémentaires mises en place par le responsable du traitement afin de prévenir toute incidence injustifiée sur les personnes concernées ».
Or, comme le constate à juste titre la CNIL, « un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service ».
Dans le cas d’espèce, force est de constater que la finalité dite de « business intelligence » ne paraît pas indispensable au bon fonctionnement de l’application et que c’est à la société WHATSAPP et non à ses utilisateurs que profite en premier lieu la transmission des données. Le déséquilibre patent entre le traitement « massif » d’informations par un seul acteur pour des finalités non précisément déterminées entraîne nécessairement un déséquilibre important qui devrait être rectifié par l’aménagement d’un mécanisme d’opposition effectif au profit de l’utilisateur.
En conclusion, l’absence de consentement libre et spécifique des utilisateurs, de même que le défaut d’intérêt légitime de la société WHATSAPP constituent un manquement à l’obligation pour tout traitement de données de satisfaire à l’une des bases légales énumérées à l’article 7 de la loi Informatique et Libertés.
3. Le 18 décembre 2017, la CNIL a mis publiquement en demeure la société WHATSAPP d’avoir à se conformer à la loi dans un délai d’un mois
Le 18 décembre dernier, la Présidente de la CNIL a mis en demeure la Société WHATSAPP de se conformer à la loi dans un délai d’un mois, décision que la Direction de la CNIL, après concertation interne, a rendu publique [7].
Si certains ont vu dans la publicité de cette décision une sanction, la CNIL a affirmé que dans un souci de transparence à l’égard des utilisateurs, l’objectif poursuivi était avant tout d’alerter les utilisateurs de l’application de la société WHATSAPP et de « leur permettre de garder le contrôle sur leurs données ». Il est également vraisemblable que le caractère insuffisant voire inexistant de la coopération de la société WHATSAPP tout au long des investigations menées par la CNIL n’est pas étranger à cette décision.
La CNIL a cependant précisé que cette décision ne saurait constituer une sanction dans la mesure où si la société WHATSAPP se conforme à la loi dans le délai imparti, la procédure sera clôturée et sa clôture sera également rendue publique. À défaut de mise en conformité dans le délai imparti, la CNIL nommera un rapporteur chargé de proposer à la formation restreinte de la Commission de prononcer l’une des sanctions prévues à l’article 45 de la loi Informatique et libertés (prononcé d’un avertissement, d’une sanction pécuniaire, injonction de cesser le traitement doublé d’un retrait de l’autorisation accordée…).
[1] Le G29 regroupe l’ensemble des CNIL européennes
[3] « Lorsqu’un responsable du traitement collecte sciemment des données à caractère personnel, même accessoirement, en ayant recours à des moyens situés dans l’UE, la directive s’applique ».
[4] Loi n° 78-17 du 6 janvier 1978 dans sa version modifiée.
[5] En outre, l’article 21 de la loi Informatique et Libertés 21 de la loi n° 78-17 du 6 janvier 1978 dispose que « les (…) dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».
[6] Article 7 de la loi Informatique et Libertés n° 78-17 du 6 janvier : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° Le respect d’une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. »
Auteures : Marie-Avril Roux & Marion-Béatrice Venencie-Nolte